Решена Майнер под RealtekHD

[mrdarthmaul]

Всем привет. Тоже столкнулся с данным майнером, после AV и Malware стало легче, но некоторые проблемы остались - например, не запускается антивирус из-за недостатка прав.
Буду благодарен за дальнейшую помощь.

 

[mrdarthmaul]

Прикрепляю также логи FRST и Addition

 

[Sandor]

Здравствуйте!

Эти два отчёта тоже покажите, пожалуйста

AV_block_remove_2024.04.08-02.36.log
AV_block_remove_2024.04.08-02.40.log

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {B7AC0876-D5B0-4C8C-9CD8-4020F79C8AA2} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {BF88FD26-0B3B-42AC-9DBA-94FB58D0DBC3} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AV_block_remover
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AutoLogger
  2024-04-08 00:15 - 2024-04-08 00:15 - 000000000 ____D C:\Program Files\7-Zip
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6516]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[mrdarthmaul]

Прикрепляю файлы

 

[Sandor]

AVbr обычно достаточно один раз запустить.

не запускается антивирус из-за недостатка прав

Какой из трёх - Eset, Malwarebytes или Comodo?

Использование двух и более одновременно работающих антивирусов не усиливает, а ослабляет защиту. К тому же вероятны конфликты между ними.

 

[mrdarthmaul]

AVrb я просто дополнительно проверял после некоторых действий, лишним не было)

Comodo основной был, к нему по прежнему нет прав. Eset - просто папка с 1 файлом осталась, не заметил при удалении несколько месяцев назад. Malware - это первое, что я смог поставить после некоторых фиксов, чтобы проверить, но уже удалил его.

При запуске Comodo

 

[Sandor]

Не видно картинки, вставьте ещё раз.

 

[mrdarthmaul]

Прикрепил

 

[Sandor]

Соберите ещё раз логи FRST.txt и Addition.txt, пожалуйста.

 

[mrdarthmaul]

Готово

 

[Sandor]

Malwarebytes действительно уже нет, зато есть Kaspersky (которого в прошлых логах не было). И, конечно, Comodo.
Комментируйте, пожалуйста, ваши действия (а лучше не предпринимайте никаких самостоятельных, пока длится тема)

Если решили удалить Comodo, воспользуйтесь соотв. рекомендациями из этой темы.

 

[mrdarthmaul]

Касперского решил поставить, пока не работает основной, и он даже не видел, что Comodo установлен. Я не думаю, что удаление Касперского сможет открыть права на Comodo .
Прикрепил скрин, что я даже в папку с Comodo не могу зайти. Удалить тоже через утилитку не вышло, лог также в закрепе.

 

[Sandor]

Ну что ж, давайте тогда попробуем насильно его удалить.
Соберите ещё раз логи FRST.txt и Addition.txt, т.к. картина изменилась.

 

[mrdarthmaul]

Соберите ещё раз логи FRST.txt и Addition.txt, т.к. картина изменилась.

 

[Sandor]

Если никто не подхватит тему, отвечу завтра (нужно уходить).

 

[Sandor]

Скрипт выполните в безопасном режиме.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  HKLM\...\Run: [COMODO Internet Security Installer] => "C:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe" -log -type "local" -camevent "install-end"  (Нет файла)
  Task: {07543957-E4A5-429A-A89F-070D801612B6} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cis.exe  --cistrayUI (Доступ не разрешён) <==== ВНИМАНИЕ
  Task: {9F5B002D-84E3-425C-A59F-9CB717813D7F} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe"
  Task: {603C2847-83DE-4A8E-8D8B-10E6FD4DF867} - System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"
  Task: {F11666A0-008C-4C1B-A9A7-CDC47334EBC4} - System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"
  Task: {89CAF46D-CA48-4019-A952-6BC25DAD3517} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"
  Task: {D4BC305D-F8DF-4956-9B2F-5630289D4A97} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"
  Task: {AF3B209B-430F-4F8F-BC6D-23819A7D1BCD} - System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe"
  Task: {EFA08113-A61C-4779-8A6F-08E8A8F48BA1} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"
  R2 CmdAgent; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe <==== ВНИМАНИЕ (Доступ не разрешён)
  R2 CmdAgentProt; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe <==== ВНИМАНИЕ (Доступ не разрешён)
  S3 cmdvirth; C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe <==== ВНИМАНИЕ (Доступ не разрешён)
  S0 cmdboot; C:\Windows\System32\DRIVERS\cmdboot.sys [16368 2022-02-15] (Microsoft Windows Early Launch Anti-malware Publisher -> COMODO)
  R1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [38880 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [844000 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 cmdhlp; C:\Windows\system32\DRIVERS\cmdhlp.sys [47104 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [130256 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AV_block_remover
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AutoLogger
  2024-03-30 13:52 - 2024-03-30 20:39 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\COMODO
  2024-03-30 13:52 - 2024-03-30 13:52 - 000000000 ____D C:\Windows\system32\Tasks\COMODO
  2024-03-30 13:52 - 2024-03-30 13:52 - 000000000 ____D C:\Program Files\COMODO
  2024-02-27 01:51 - 2024-04-08 02:05 - 000000000 ____D C:\ProgramData\Comodo
  AV: ESET Security (Enabled - Up to date) {DF8BEACB-94C9-218A-73AD-A78362A8C516}
  AV: COMODO Antivirus (Enabled - Out of date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
  FW: COMODO Firewall (Enabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  COMODO Internet Security Pro (HKLM\...\{5B53A0B1-9E01-4FAC-95E5-7B715F88ECC8}) (Version: 12.2.4.8032 - COMODO Security Solutions Inc.) Hidden
  ContextMenuHandlers1: [Comodo Antivirus] -> {4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
  ContextMenuHandlers2: [Comodo Antivirus] -> {4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
  ContextMenuHandlers6: [Comodo Antivirus] -> {4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки в перечне установленных программ должен появиться

COMODO Internet Security Pro

Удалите.

В нормальном режиме соберите ещё раз логи FRST.txt и Addition.txt

 

[mrdarthmaul]

произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

А можно ли сделать все действия без этого? Я уже делал это по ответам в начале, снова чистить браузеры не вижу смысла, и повторно входить во все аккаунты тяжко по времени.

 

[Sandor]

Поправил скрипт, чистки временных не будет. Выполните.

 

[mrdarthmaul]

Готово. Папки удалились, но из Панели управления запись не могу удалить: удаление запускается и через время закрывается, запись остается.
Прикрепляю 4 лога

 

[Sandor]

Будьте внимательны, я просил

Скрипт выполните в безопасном режиме.

А вы запускали в нормальном режиме.

Следующий скрипт выполните в безопасном.

• Выделите следующий код:
  

  Start::
  CloseProcesses:
  S2 CmdAgent; "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" [X]
  S2 CmdAgentProt; "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" /ProtectedSvc [X]
  S3 cmdvirth; "C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe" [X]
  R1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [38880 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [844000 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 cmdhlp; C:\Windows\system32\DRIVERS\cmdhlp.sys [47104 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [130256 2021-01-22] (Comodo Security Solutions, Inc. -> COMODO)
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AV_block_remover
  Unlock: C:\Users\mrdar\OneDrive\Desktop\AutoLogger
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

из Панели управления запись не могу удалить

Удалите принудительно с помощью Geek Uninstaller